眾所週知,APT攻擊有區域性,日前趨勢科技就發現一個專門針對亞洲國家的APT攻擊Naikon,其攻擊目標以亞洲地區國家如印度、馬來西亞、越南、新加地等國的電信、媒體、油電、政府等產業為主。
Naikon攻擊流程與其他APT攻擊相同,都是從附有惡意文件的社交工程郵件開始,該惡意文件內嵌一隻名為RARSTONE的後門程式,使用的是微軟舊漏洞CVE-2012-0158,這個漏洞在去年開始狂掃100多國的Safe間諜活動中,也曾經被使用過。
首先,駭客先寄一封主題與亞太地區外交有關的郵件,當受害者點擊郵件附加的惡意word檔,就會將RARSTONE下載至電腦中,由於惡意程式元件是直接下載到記憶體中,而非下載任何檔案,因此可躲過一般file-based的掃描。
其實RARSNTOE這隻遠端存取木馬(RAT)並非第一次出現,今(2013)年2月趨勢科技就曾經通報過,今年4月在一波以波士頓馬拉松爆炸為主題的惡意郵件中,也曾發現過它的蹤跡,只是它會透過各種方式來躲避偵測,像是藉由解安裝機碼(Uninstall Registry Key)的方式,了解受害電腦所安裝的應用程式,並將與防毒軟體相關的AP解除安裝,同時,採用SSL加密與後端C&C伺服器溝通,由於與正常流量幾乎沒有區別,因此不容易被察覺。
從Naikon、Safe等此類精心設計的攻擊來看,目標式攻擊越來越多,且攻擊手法越來越難以察覺。根據FireEye在今年4月發佈的《進階網路攻擊》分析報告指出,駭客大量使用C&C伺服器並保持與受害機器溝通,以便駭客下載並修改惡意程式,躲避目標企業的偵測,同時暗中匯出機密資料並繼續擴大在企業的攻擊。
這份報告更進一步指出,受攻擊熱門地區為亞洲、東歐等國,且科技公司由於擁有智慧財產機密資料,為被高度回撥攻擊的目標,且大部分使用回撥的APT攻擊,大都源自於中國,或中國開發的攻擊工具,其中最主要的工具為Gh0st RAT。
面對目標式攻擊,趨勢科技認為,過去以黑名單、周邊防禦的防護模式可能不再管用,企業除了做好社交工程演練、定期修補更新外,還要加強主機稽核監控、檔案異動監控等防禦機制。